危机四伏|盘点紧盯我国的五大APT组织
一、毒云藤(APT-C-01)
命名:该组织是 360 独立发现的,并率先披露了该组织的部分相关信息符合 360 对 APT 组织就行独立命名的条件。 360 威胁情报中心将 APT-C-01 组织命名为“毒云藤”,主要是考虑了以下几方面的因素: 一是该组织在多次攻击行动中,都使用了 Poison Ivy(毒藤)木马;二、该攻击组织在中转 信息时,曾使用云盘作为跳板传输资料,这跟爬藤类植物凌空而越过墙体,颇有相似之处。 根据 360 威胁情报中心对 APT 组织的命名规则,同时结合该组织关联地区常见的蔓藤植物,将 APT-C-01 组织命名为“毒云藤”。
简介:由从 2007 年开始至今,360 追日团队发现毒云藤组织对中国国防、政府、科技、教育以 及海事机构等重点单位和部门进行了长达 11 年的网络间谍活动。该组织主要关注军工、中 美关系、两岸关系和海洋相关领域,其关注的领域与我们之前发布的海莲花(OceanLotus) APT 组织有一定相似的地方。 360 追日团队捕获毒云藤的首个木马出现在 2007 年 12 月。该组织在初始攻击环节主要采用鱼叉 式钓鱼邮件攻击,攻击之前对目标进行了深入调研和精心挑选,选用与目标所属行业或领域 密切相关的内容构造诱饵文件和邮件,主要是采用相应具体领域相关会议材料、研究成果或 通知公告等主题。期间漏洞文档样本数量 10 个,其中包含 1 个 0day 漏洞。这些木马的感染 者遍布国内 31 个省级行政区。C&C 域名数量为 59 个,回传的地址位于4个不同国家或地区。
近期攻击案例:
钓鱼事件分析
●钓鱼目标:*大学
●钓鱼链接:https://mail.pk*.com/
●攻击者语言使用习惯:中文简繁混用繁体为主
●组件习惯:Apache,ubuntu,PHP
●攻击习惯:仿站水坑钓鱼
二、海莲花(APT-C-00)
简介:安信旗下的高级威胁研究团队红雨滴(天眼实验室),国内首个发布并命名“海莲花”(APT-C-00,OceanLotus)APT攻击组织。海莲花(OceanLotus)组织,似越南政府背景,攻击活动至少可追溯到2012年,长期针对中国及其他东亚国家(地区)政府、科研机构、海运企业等领域进行攻击。其会对在越南制造业、科技公司、消费品行业和酒店业中有既得利益的外国企业进行了长时间的入侵与渗透,以及一直会以外国政府和对越南持不同政治意见的个人和媒体为主要目标。从2012年至今,持续对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域进行长时间 不间断攻击。至今十分活跃。
该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。
为了隐蔽行踪,该组织还至少先后在6个国家注册了C2(也称C&C,是Command and Control的缩写)服务器域名35个,相关服务器IP地址19个,服务器分布在全球13个以上的不同国家。
2014年2月以后,OceanLotus进入攻击活跃期,并于2014年5月发动了最大规模的一轮鱼叉攻击,大量受害者因打开带毒的邮件附件而感染特种木马。而在2014年5月、9月,以及2015年1月,该组织又对多个政府机构、科研院所和涉外企业的网站进行篡改和挂马,发动了多轮次、有针对性的水坑攻击。
OceanLotus组织的攻击周期之长(持续3年以上)、攻击目标之明确、攻击技术之复杂、社工手段之精准,都说明该组织绝非一般的民间黑客组织,而很有可能是具有国外政府支持背景的、高度组织化的、专业化的境外国家级黑客组织。
三、摩诃草组织(APT-C-09)
摩诃草组织(APT-C-09),又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork,是一个来自于南亚地区的境外APT组织,该组织已持续活跃了7年。摩诃草组织最早由Norman安全公司于2013年曝光,随后又有其他安全厂商持续追踪并披露该组织的最新活动,但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击,相反从2015年开始更加活跃。
摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2009年11月,至今还非常活跃。在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。
从2009年至今,该组织针对不同国家和领域至少发动了3波攻击行动和1次疑似攻击行动。整个攻击过程使用了大量系统漏洞,其中至少包括一次0day漏洞攻击;该组织所采用的恶意代码非常繁杂。载荷投递的方式相对传统,主要是以鱼叉邮件进行恶意代码的传播,另外部分行动会采用少量水坑方式进行攻击;值得关注的是,在最近一次攻击行动中,出现了基于即时通讯工具和社交网络的恶意代码投递方式,进一步还会使用钓鱼网站进行社会工程学攻击。在攻击目标的选择上,该组织主要针对Windows系统进行攻击,同时我们也发现了存在针对Mac OS X系统的攻击,从2015年开始,甚至出现了针对Android OS移动设备的攻击。
四、蓝宝菇
从2011年开始持续至今,高级攻击组织蓝宝菇(APT-C-12)对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。该组织主要关注核工业和科研等相关信息。被攻击目标主要集中在中国大陆境内。 360高级威胁应对团队捕获的首个蓝宝菇组织专用木马出现在2011年3月左右。目前已总共捕获该组织恶意代码670余个,这些恶意代码可分为4类RAT,细分版本为7种。360威胁情报中心对APT组织的命名规则,我们将该组织名为蓝宝菇。
五、蔓灵花
蔓灵花(Bitter)是一个来自南亚某国的APT组织,长期针对中国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感资料,具有较强的政治背景。是目前活跃的针对境内目标进行攻击的境外APT组织之一。该组织最早在2016由美国安全公司Forcepoint进行了披露,他们发现攻击者使用的远程访问工具(RAT)变体使用的网络通信头包含 “BITTER”,所以该这次攻击命名为“BITTER”。其攻击活动最早可追溯到2013年,从2016年始出现对国内的攻击活动。
本文由360、奇安信、安恒等整理。